Обработка и хранение персональных данных физических лиц в рамках коммерческой или некоммерческой деятельности требует соблюдения определенных требований безопасности. Необходимость обеспечивать защиту персональных данных и проходить аттестацию ИСПДн прописана в Федеральном законе №152-ФЗ от 7 июля 2006 года, причем под его действие попадают не только государственные, муниципальные структуры, но также физлица, ИП и юридические лица. В зависимости от типа и класса защищенности системы проверка и получение аттестата могут носить обязательный либо добровольный характер.
Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.
Сразу отметим, что понятие «аттестация ИСПДн» относится только к государственным информационным системам персональных данных, что накладывает на операторов обязательства по обеспечению их безопасности в соответствии с Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России №17 от 11.02.2013 г.
Приказ ФСТЭК России №17 от 11 февраля 2013г.
Для информационных систем, не являющихся государственными, аттестат соответствия требованиям по безопасности информации не обязателен. Однако, он может понадобиться для подтверждения должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке. Проводится аттестация ИСПДн в соответствии с тем же вышеупомянутым Приказом ФСТЭК России № 17.
Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных. В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.
Также в целях подтверждения должного уровня защиты персональных данных возможно проведение и аудита соответствия, который проводится компетентными организациями, имеющими лицензию на техническую защиту конфиденциальной информации.
Правовые обоснования проведения аттестации информационных систем персональных данных
Как указано в статьях 18.1 и 19 действующего Федерального закона «О персональных данных», от оператора требуется подготовить и интегрировать программно-аппаратные средства защиты информации, а также пройти аттестационные испытания. Проверка выполняется согласно нормативам ГОСТов, методологической документации ФСТЭК и ФСБ с помощью особого контрольного оборудования, сертифицированных средств измерения и отслеживания эффективности СЗПДн. Экспертам надлежит оценить различные подсистемы, включая антивирусное ПО, криптографическую безопасность, разграничение доступа и т.д. Количество инспектируемых компонентов ИСПДн определяется установленным для данного предприятия уровнем защищенности информации.
Аттестация систем персональных данных регламентируется целым рядом подзаконных актов, с которыми имеет смысл ознакомиться каждому, кому предстоит подобная процедура:
- Приказы ФСТЭК РФ № 21 и 17.
- Приказ Федеральной службы безопасности № 378.
- Постановление Правительства России № 1119.
В соответствии с ними оператору нужно разработать и внедрить целый пакет организационно-распорядительных документов, которые будут четко прописывать, каким образом будет обеспечиваться работа каждой из подсистем ИСПДн.
Когда и кому необходимо получить аттестат соответствия ИСПДн?
В обязательном порядке документ, свидетельствующий о том, что информационная система ПДн отвечает действующим требованиям ФЗ-152, предстоит получить государственным органам и тем организациям, которые выполняют их функции. Такие ИС нуждаются не только в обеспечении конфиденциальности сведений, но также в предупреждении несанкционированных действий в отношении собранной и хранимой информации, в частности, она должна быть защищена от изменения, удаления, копирования и распространения без согласия субъектов ПДн.
Добровольная аттестация системы защиты персональных данных инициируется, чтобы:
- избежать конфликтов с проверяющими органами;
- поддерживать хорошую деловую репутацию и минимизировать вероятность судебных исков за разглашение конфиденциальной информации;
- подтвердить в глазах партнеров и клиентов статус лидера в выбранной рыночной нише — особенно это актуально для компаний, которые оказывают аутсорсинговые услуги в сфере бухучета, аудита, программного обеспечения и т.д.
Услуга проведения аттестационных испытаний с выдачей протоколов, заключений и аттестата, актуальная также для организаций любой формы собственности и специализации в таких случаях:
- после окончания срока действия прошлого сертификата (документ выдается на 3 года);
- при необходимости улучшения информационной защищенности;
- при подозрении на систематическую утечку сведений и безрезультативность внутренних проверок;
- после внесения существенных изменений в работе, например, закупки нового компьютерного оборудования, обновлении технологических процессов или значительном расширении базы данных.
Основные этапы проверки
Процедура анализа текущего уровня защиты ПДн достаточно трудоемкая, сложная и требует от исполнителей определенной квалификации и опыта. Её проводят на последнем этапе обеспечения безопасности информационных систем компании. Наш Центр выполняет полный спектр работ, действуя согласно методологии ФСТЭК Российской Федерации, которая предусматривает:
- Изучение ИС персональных данных с составлением акта об обследовании, с разработкой модели потенциальных угроз. На данном этапе происходит определение того, насколько эффективны используемые средств защиты ПДн, а затем создается техническое задание на разработку и интеграцию СЗ.
- Создание и внедрение проекта системы защиты с обязательной подготовкой ОРД.
- Аттестация безопасности ПДн с составлением технического паспорта на исследуемую систему, протокола оценки и заключения по результатам анализа. Если все требования ФЗ-152 соблюдены, то компания получает аттестат, который будет действительным в течение 3 лет.
Финансовая сторона вопроса
Стоимость аттестации ИСПДн определяется после обсуждения с клиентом всех аспектов сотрудничества и с учетом трудоемкости процесса, которая обусловлена потребностью документировать на каждом этапе выполненные действия и полученные результаты. Основными факторами, влияющими на итоговую сумму, являются:
- число компьютеров, ноутбуков и прочей вычислительной техники, формирующей систему персональных данных предприятия;
- специфика используемых технологий обработки информации;
- класс защищенности и тип ИСПДн;
- количество необходимых средств обеспечения безопасности конфиденциальных сведений.
При обращении в наш Центр вы можете быть уверенными в том, что цена аттестации информационных систем персональных данных будет обоснованной, а все условия сотрудничества будут четко прописаны в договоре на обслуживание. Точно определить количество и вид необходимых средств помогает предварительное обследование, на основе которого создается технический проект под конкретную компанию.
Естественно, чем масштабней организация, тем большими будут финансовые затраты, но при выборе сервиса под ключ, который мы предлагаем, переплачивать не придется. К тому же, инвестируя денежные активы в безопасность ПДн сейчас, в будущем вы можете избежать штрафов ФСТЭК за несоблюдение нормативов ФЗ-152 и других подзаконных актов, а также создать себе репутацию действительно надежного партнера, который способен защитить информацию от неправомерных действий.
